Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Monatlicher Passwortwechsel

Frage Microsoft Windows Server

Mitglied: 1stone

1stone (Level 1) - Jetzt verbinden

18.12.2012 um 11:10 Uhr, 4813 Aufrufe, 13 Kommentare

Ich administriere Rechner in 5 verscheidenen Domains. Alle 30 Tage muss das Password meines Admin-Accounts geändert werden, wobei ich weder DomainAdmin, noch EnterpriseAdmin bin. Mein Admin-Account wird bloss auf jenen Rechnern über eine globale Gruppe auf jenen Servern in die LocalAdmins eingetragen, welche ich zu betreuen habe.
Da ich Domainübergreifend per Script Daten verteilen muss, ist mein Password natürlich auch auf diversen im “Windows Credential Manager” für etliche Shares hinterlegt.

Ich bin auf der Suche, wie ich den Passwordwechsel so automatisieren kann, dass dies mit vernünftigem Aufwand zu realisieren ist. Am liebsten wäre es mir, wenn ich von meinem Admin-Client aus alle Domainpasswörter auf einmal ändern könnte und auf den betroffenen Rechnern ebenfalls die “Windows Credential Manager” entsprechend geändert würden. Ich nehme an, dass es dafür keine Lösung gibt; aber mir wäre schon geholfen, wenn im “Windows Credential Manager” alle Einträge mit <Domain>\<User> mit dem geänderten Password aktualisiert würden.

Ich nehme an, dass ich nicht der Einzige bin, welcher auf der Suche nach einer Lösung ist.

Wenn jemand weiss, wie mein Anliegen umzusetzen ist, dann wäre ich sehr dankbar und hätte wieder mehr Zeit zum Administrieren, statt Passwörter zu wechseln.

Besten Dank für alle Tipps.
Mitglied: TobiTobsen
18.12.2012 um 11:22 Uhr
Auf die Schnelle würde ich sagen: Lass dich zum DomainAdmin machen! Wenn die Server sowieso alle in einer Domain sind, macht es für mich nicht so viel Sinn einen Admin in die lokale Admingruppe aufzunehmen.
Bitte warten ..
Mitglied: LordXearo
18.12.2012 um 11:28 Uhr
Hoi,

die Credentials für Shares bzw. das mappen von benötigten Netzlaufwerken lassen sich mit GPOs speichern/verbinden.
Aber da hast du wohl keinen Zugriff drauf.

Viele Grüße

Xearo
Bitte warten ..
Mitglied: 1stone
18.12.2012 um 11:30 Uhr
Hallo Tobi.

Besten Dank für Deine Antwort.

Ich arbeite in 5 verschiedenen Domains (LABOR, SYST, INTG, DMZ und PROD).

Sicher wäre es das Einfachste, wenn ich DomainAdmin wäre, wäre da nicht unsere interne Revision, welche keine DomainAdmins mehr duldet, ausser für die beiden AD-Verantwortlichen. Wegen denen musste ich den DomainAdmin abgeben - Vorher hatte ich diese Knochenarbeit ja nicht...

(Als AV-Verantwortlicher bin ich dafür nun nahezu auf allen Rechnern in den LocalAdmins)
Bitte warten ..
Mitglied: 1stone
18.12.2012 um 11:31 Uhr
Hallo Lord.

Richtig, da habe ich auch keinen Zugriff
Bitte warten ..
Mitglied: DerWoWusste
18.12.2012, aktualisiert um 13:07 Uhr
Moin.

Ich verstehe noch nicht, was das Problem ist.
Du hast verschiedene (sich vertrauende?) Domänen und ein Domänenkonto, das auf vielen PCs in der lokalen Admingruppe ist. Änderst Du das Kennwort, so kannst Du damit doch überall handeln - wo liegt das Problem? Auch beim Verteilen von Dateien brauchst Du doch nicht die lokalen Credential-Manager, wenn Du eh Admin auf den Maschinen bist.

Erklär das bitte eindeutiger, Du siehst, dass ich nicht begriffen habe, worum es geht.

Nebenbei: Du hast keine verwendeten Betriebssysteme genannt, hol das noch nach.
Bitte warten ..
Mitglied: 1stone
18.12.2012, aktualisiert um 13:48 Uhr
Hi Wissender.

Nein, die Domains sind isoliert (macht ja keinen Sinn, zwischen Labor, ..., Prod Trusts einzurichten). Ich habe also 5 Domainusers, welche auf vielen Servern und allen Clients in der lokalen Admingruppe (über globale Gruppen) eingetragen sind.

Wenn aus der Domain1 Dateien auf zig Server in der Domain2 kopieren muss, dann mape ich die Laufwerke mit "/PERSISTENT:YES". Das heisst, dass ich zig Einträge im "Windows Credential Manager" (Anmeldeinformationsverwaltung oder Windows-Tresor) mit Domain2\User habe. Wenn ich in der Domain2 das Password ändern muss, dann habe ich zig falsch Passwörter im "Windows Credential Manager". Wenn ich da mein Kopierscript starte, dann ist mein Account nach dem 3. Server gelocked und ich darf beim AD-Admin nachfragen, ob er so gütig wäre, den Hacken bei "locked out" wieder zu entfernen.

Momentan muss ich im "Windows Credential Manager" jeden einzelnen Eintrag anklicken, auf "Bearbeiten" drücken, das neue Kennwort eintippen und danach auf Speichern drücken. Das jeden Monat für eine Liste mit gut 200 Einträgen (da sind ja auch noch die TERMSRV-Einträge)... Und das möglichst, ohne zu vertippen.

...Manuell kann man das ja machen, also müsste es irgendwie eine API geben, über welche man dies automatisieren könnte? Das alte Passwort müsste ich dabei ja nicht einmal kennen.

Ich bin sicher, dass ich nicht der Einzige auf diesem Planeten bin, der diesen Task automatisieren möchte. Das Programm/Script/Powershell/... müsste jeden Eintrag lesen und wenn unter Username steht Domain1\User, das Password anpassen. Mir scheint das jedenfalls nicht sooo unmöglich zu sein.

Im Einsatz stehen (Windows XP, Windows Server 2003,) Windows Server 2008 32/64 Bit, Windows Server 2008 R2, Windows 7 32/64 Bit.
Bitte warten ..
Mitglied: DerWoWusste
18.12.2012, aktualisiert um 14:38 Uhr
Ok, schon klarer

Der Credentialmanager ist bei mir auch voll mit TERMSRV\...-Einträgen - MEINE Erfahrung: ändere ich das Kennwort bei einem, wird es bei allen anderen für dieses Konto automatisch angepasst! Wir verwenden hier Vista als Client. Teste es bitte mit TERMSRV und danach mit den Freigaben und schau, ob es bei Dir auf Vista geht oder nicht und ob es einen Unterschied zwischen TERMSRV und den Freigaben gibt.
Bitte warten ..
Mitglied: 1stone
18.12.2012 um 16:44 Uhr
Hi Wissender.

Ich habe probehalber für je einen Eintrag das Password im Windows-Tresor geändert:

Windows-Anmeldeinformation: Wurde nicht vererbt (der geänderte meldet "Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.", die ungeänderten funktionieren weiter.

TERMSRV reagiert ähnlich

(von meinem Win 7 Client aus getestet)
Bitte warten ..
Mitglied: DerWoWusste
18.12.2012 um 18:56 Uhr
Du machst auch nicht das selbe. Du änderst ja auf ein falsches Kennwort (sonst würden die anderen wohl kaum noch funktionieren).
Bitte warten ..
Mitglied: DerWoWusste
18.12.2012 um 20:56 Uhr
Korrektur: Was ich gemacht habe, war etwas anders, ich habe nicht über den Passwortmanager, sondern schlicht über erneute Einspeicherung des Kennwortes in die RDP-Verbindung erreicht, dass das neue Kennwort für alle RDP-Verbindungen, die zuvor gespeichert waren und mit diesem Konto liefen, verwendet wurde - aber das lost Dein Problem ja ebenso. Denke mal, dass es für Freigaben gleich ist, geh also testhalber einfach nicht über den Kennwortmmanager.
Bitte warten ..
Mitglied: 1stone
19.12.2012 um 07:52 Uhr
Das mit den TERMSRV schmerzt mich ja nicht so sehr. Wenn ich aber das Kopierscript starte, welches Dateien auf 20 Server der Aussenstellen verteilt, dann erhalte ich bei jedem Server "Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort." und nach dem 3. Server ist mein Account gelocked.
Wenn das Kopierscript bei jedem Server nach dem Password fragen würde, dann könnte ich es ja ebensogut manuell machen.

Ich möchte einfach den Passwordwechsel im Windows-Tresor so automatisieren, dass ich nicht jeden einzelnen Eintrag bearbeiten muss, sondern dass alle Einträge mit Domain2\User auf einmal angepasst werden (wenn ich dabei auch gleich die TERMSRV-Passwörter ändern könnte, dann wäre ich auch nicht traurig).

Dass die ganze Sache scriptbar ist, habe ich z.B. unter http://tobivnext.wordpress.com/2012/06/18/powershell-cmdlet-zum-auslese ... gefunden; aber ich will ja nicht die Passwörter auslesen, sondern bestimmte (Domain2\User) Einträge ändern.
Bitte warten ..
Mitglied: DerWoWusste
19.12.2012 um 11:50 Uhr
Befolg meinen Tipp doch mal.
Bitte warten ..
Mitglied: 1stone
19.12.2012 um 12:18 Uhr
...ich habe das Kopierscript angeworfen und musste danach den AD-Admin bitten, meinen Account wieder freizugeben.
Bitte warten ..
Ähnliche Inhalte
Verschlüsselung & Zertifikate
Passwortwechsel per ldaps auf einer AD
Frage von Rheno-GermaniaVerschlüsselung & Zertifikate2 Kommentare

Hallo, folgendes Problem: wir haben eine Domain (Server 2008r2, Intanet) sowie eine Homepage (Joomla, Webspace bei der Telekom). Zur ...

Windows Userverwaltung
Windows 8.1: Passwortwechsel erzwingen in der Domäne
gelöst Frage von herbieracerWindows Userverwaltung3 Kommentare

Hallo! Nachdem ich mich im Jahr 2004 (!) hier registriert habe, stelle ich nun (2014) meine erste Frage (bin ...

Windows 10
Monatliches Updatepaket herunterladen?
gelöst Frage von honeybeeWindows 109 Kommentare

Hallo, meine Mutter hat nur begrenztes Internet, weil es an ihrem Wohnort nicht so viele Möglichkeiten bezüglich DSL gibt. ...

Windows Server
Microsoft - monatliches Sicherheitsqualitätsrollup - kumulativ?
Frage von JuckieWindows Server2 Kommentare

Hallo zusammen, ich habe bezüglich der Updatestrategie für die Windows Betriebssysteme (Windows 7, Windows 10, Server 2008 R2, Server ...

Neue Wissensbeiträge
Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 1 StundeHumor (lol)2 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 17 StundenMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 17 StundenSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 19 StundenAdministrator.de Feedback10 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...

Linux
OpenSource Groupware
Frage von FA-jkaLinux13 Kommentare

Hallo, ich suche eine Groupware als Alternative zum Exchange. Wesentliche Aufgaben sind die Handhabung von E-Mails (persönliche und gemeinsam ...